Ett företag behandlade personuppgifter utan att informera de registrerade och fick därför en sanktionsgift tilldelad av den tyska motsvarigheten till IMY som är tillsynsmyndighet i ärenden gällande GDPR. Företaget hade tillgång till personuppgifterna, eftersom de hade lagrat dem i enlighet med gällande bokförings- och redovisningslagar. Däremot är det inte tillåtet att använda personuppgifterna för andra ändamål utan att meddela detta till de registrerade.
Behandlade personuppgifter utan att informera de registrerade om detta
Föreget behandlade de sedan tidigare lagrade personuppgifterna när de skulle erbjuda nya kunder en bonus. Företaget ville se om de nya kunderna redan hade varit kunder hos företaget innan. Anledningen var att de inte ville att tidigare kunder skulle få denna nya bonus, då det skulle påverka företagets vinstmarginaler.
Det var ungefär en halv miljon personer som blev drabbade av detta utan att känna till denna behandling som företaget utförde. Myndigheten i Tyskland kom fram till att sanktionsavgiften skulle bli 900 388 84 euro för företaget. I och med att detta är ett stort företag, blev avgiften hög. Det varierar nämligen beroende på storleken. Företaget accepterade dessutom avgiften. Därefter har företaget upphört med behandlingen i fråga och arbetar med myndigheten med full transparens.
Här kan du läsa mer om detta ärendet via European Data Protection Boards hemsida.
